AJAX सुरक्षा

अतुल्यकालिक जावास्क्रिप्ट और एक्सएमएल (AJAX) नवीनतम तकनीकों में से एक है जो एक समृद्ध समृद्ध अनुभव देने के लिए वेब एप्लिकेशन इनवर्टर को विकसित करने के लिए उपयोग किया जाता है। चूंकि यह एक नई तकनीक है, ऐसे कई सुरक्षा मुद्दे हैं जिन्हें अभी स्थापित किया जाना बाकी है और नीचे AJAX में कुछ सुरक्षा मुद्दे हैं।

  • हमले की सतह अधिक है क्योंकि सुरक्षित होने के लिए अधिक इनपुट हैं।

  • यह अनुप्रयोगों के आंतरिक कार्यों को भी उजागर करता है।

  • प्रमाणीकरण जानकारी और सत्र की सुरक्षा में विफलता।

  • क्लाइंट-साइड और सर्वर-साइड के बीच एक बहुत ही संकीर्ण रेखा है, इसलिए सुरक्षा गलतियों को करने की संभावनाएं हैं।

उदाहरण

यहाँ AJAX सुरक्षा के लिए एक उदाहरण है -

2006 में, एक कृमि संक्रमित याहू मेल सेवा जो XSS और AJAX का उपयोग करती थी, जो याहू मेल के ऑनलोड लोड हैंडलिंग में भेद्यता का लाभ उठाती थी। जब एक संक्रमित ईमेल खोला गया, तो कृमि ने अपने जावास्क्रिप्ट को निष्पादित किया, जो संक्रमित उपयोगकर्ता के सभी याहू संपर्कों को एक प्रतिलिपि भेज रहा था।

व्यावहारिक व क्रियाशील

Step 1- हमें XML इंजेक्शन का उपयोग करके अपने अनुमत सेट के लिए और अधिक पुरस्कार जोड़ने की कोशिश करने की आवश्यकता है। नीचे परिदृश्य का स्नैपशॉट है।

Step 2- सुनिश्चित करें कि हम बर्प सूट का उपयोग करके अनुरोध और प्रतिक्रिया दोनों को रोकते हैं। उसी की सेटिंग्स जैसा कि नीचे दिखाया गया है।

Step 3- परिदृश्य में दिए गए अनुसार खाता संख्या दर्ज करें। हम उन सभी पुरस्कारों की सूची प्राप्त करने में सक्षम होंगे जिनके लिए हम पात्र हैं। हम 5 में से 3 पुरस्कारों के लिए पात्र हैं।

Step 4- अब 'Submit' पर क्लिक करें और देखें कि हमें रिस्पॉन्स XML में क्या मिलता है। जैसा कि तीन पुरस्कारों के नीचे दिखाया गया है कि हम पात्र हैं, हमें एक्सएमएल के रूप में पारित किया गया है।

Step 5 - अब हम उन XML को संपादित करते हैं और अन्य दो पुरस्कार भी जोड़ते हैं।

Step 6- अब सभी पुरस्कारों का चयन करने के लिए उपयोगकर्ता को प्रदर्शित किया जाएगा। हमने जो जोड़ा है उसे चुनें और 'सबमिट' पर क्लिक करें।

Step 7 - निम्नलिखित संदेश यह कहते हुए दिखाई देता है, "* बधाई। आपने इस पाठ को सफलतापूर्वक पूरा कर लिया है।"

निवारक तंत्र

ग्राहक पक्ष -

  • .InnerHtml के बजाय .innerText का उपयोग करें।
  • Eval का उपयोग न करें।
  • सुरक्षा के लिए ग्राहक के तर्क पर भरोसा न करें।
  • सीरियल कोड लिखने से बचें।
  • XML को गतिशील बनाने से बचें।
  • ग्राहक को कभी भी रहस्य न भेजें।
  • क्लाइंट साइड कोड में एन्क्रिप्शन न करें।
  • ग्राहक पक्ष पर सुरक्षा प्रभावकारी तर्क न दें।

सर्वर साइड -

  • CSRF सुरक्षा का उपयोग करें।
  • सीरियल कोड लिखने से बचें।
  • सेवाओं को उपयोगकर्ताओं द्वारा सीधे कॉल किया जा सकता है।
  • XML को हाथ से बनाने से बचें, फ्रेमवर्क का उपयोग करें।
  • JSON के निर्माण से बचें, एक मौजूदा ढांचे का उपयोग करें।